最近筆者單位對網(wǎng)絡(luò)拓?fù)溥M(jìn)行了一定的調(diào)整，增加了防火墻對上下級單位間進(jìn)行精細(xì)化管理，確保業(yè)務(wù)系統(tǒng)的高安全穩(wěn)定性，然而由于增加了防火墻限制規(guī)則造成了一部分業(yè)務(wù)不能使用，最后筆者對防火墻進(jìn)行了一定的研究發(fā)現(xiàn)，可以采用防火墻上跨VLAN管理的配置方法就解決了該問題，下面就將此次配置的過程和經(jīng)驗和大家一同分享。

單位網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

單位的網(wǎng)絡(luò)拓?fù)湟砸慌_中興ZXR10 T40G作為核心交換機(jī)，平時為方便管理，對本級各部門及下級單位通過VLAN進(jìn)行業(yè)務(wù)劃分,與下級單位采用Trunk模式組建三級交換網(wǎng)絡(luò)，各個業(yè)務(wù)系統(tǒng)通過核心交換機(jī)進(jìn)行數(shù)據(jù)交換。最近單位為了確保本級與下級單位間的網(wǎng)絡(luò)安全，實現(xiàn)精確控制各子網(wǎng)的業(yè)務(wù)功能，在年度維護(hù)中投入經(jīng)費購置了聯(lián)想網(wǎng)御防火墻，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 單位網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)具體配置如 下，ZXR10 T40G核心交換機(jī)劃分多個VLAN，其中，VLAN5為本級內(nèi)網(wǎng)段，VLAN10、VLAN20 對應(yīng)下級單位1的網(wǎng)段，VLAN30對應(yīng)下級單位2的網(wǎng)段。本單位特殊調(diào)度服務(wù)(以下簡稱TSDD服務(wù))要求僅能在下級單位間使用，而本級與下級單位間禁止使用。在網(wǎng)絡(luò)升級前初步考慮的是在上下級單位間部署一臺防火墻，在防火墻上制定相應(yīng)的限定規(guī)則，實現(xiàn)精確控制子網(wǎng)間的業(yè)務(wù)功能。但是這樣配置的話又會造成一個問題：如果僅簡單地將各單位所有VLAN都劃分為一個地址段資源，即本級內(nèi)網(wǎng)（地址 范 圍 ：172.16.1.0/24）、下級單位1（地址范圍：192.168.10.0/23）、 下級單位2（地址范圍：192.168.20.0/24），規(guī) 則 定義為本級內(nèi)網(wǎng)與下級單位1和下級單位2之間禁止TSDD服務(wù)。那么下級單位1的VLAN10和VLAN20之間將不能正常使用TSDD服務(wù)。這是因為VLAN的劃分是在核心交換機(jī)上，他們之間的互通必須穿過防火墻到達(dá)核心交換機(jī)后才能實現(xiàn)。在防火墻上做了禁止規(guī)則后，VLAN10和VLAN20間的數(shù)據(jù)交互也被禁止了，無法到達(dá)核心交換機(jī)。當(dāng)然解決該問題也是有的，可以在下級單位部署三層交換機(jī)，上下級單位間采用路由模式實現(xiàn)網(wǎng)絡(luò)互聯(lián)，這樣部署的話造成上級單位防火墻不能精確控制下級單位的業(yè)務(wù)系統(tǒng)，而且投入的資金過多，不符合單位的實際。

最后筆者對網(wǎng)御防火墻進(jìn)行了一定的研究，發(fā)現(xiàn)可以通過在防火墻跨VLAN的管理配置方法進(jìn)行配置。具體配置思路如下：在配置防火墻時首先創(chuàng)建VLAN10和VLAN20，并對其進(jìn)行允許策略配置，才能使下級單位1的兩個VLAN間正常使用TSDD服務(wù)。即：網(wǎng)絡(luò)區(qū)段間的訪問規(guī)則其一是防火墻默認(rèn)策略為禁止；其二是VLAN10和VLAN20間允許TSDD服務(wù)。

具體配置方案

其配置具體方案如下：

一是配置網(wǎng)口fe1連接下級單位1交換機(jī)的TRUNK口，IP地址192.168.100.1，掩碼255.255.255.0。

二是創(chuàng)建VLAN設(shè)備fe1.20，綁定設(shè)備 fel，VLAN ID為20，工作在“路由模式”，IP地址為 192.168.10.1，掩碼255.255.255.0。

三是創(chuàng)建VLAN設(shè)備fe1.21，綁定設(shè)備 fel，VLAN ID為21，工作在“路由模式”，IP地址為 192.168.11.1，掩碼255.255.255.0。

四是配置網(wǎng)口fe2連接下級單位2交換機(jī)的TRUNK口，IP地 址 為192.168.200.1，掩 碼 255.255.255.0。創(chuàng)建VLAN設(shè)備同fe2.30，具體操作如二。

五是配置網(wǎng)口fe3接到核心交換機(jī)ZXR10 T40G，IP地址為172.16.1.1，掩碼255.255.255.0。

六是配置VLAN10網(wǎng)關(guān)為192.168.10.1,VLAN20網(wǎng)關(guān)為192.168.11.1, VLAN30網(wǎng)關(guān)為192.168.20.1。

具體配置步驟

第一步是添加地址資源：其中VLAN10_NET:192.168.10.0， 掩 碼255.255.255.0；VLAN20_NET:192.168.11.0， 掩 碼255.255.255.0。

第二步配置訪問策略：首先添加包過濾規(guī)則：源地址VLAN10_NET，目的地址VLAN20_NET，服務(wù) TSDD，動作為允許；其次添加包過濾規(guī)則：源地址VLAN20_NET，目的地址VLAN10_NET，服務(wù)TSDD，動作為允許。

通過以上配置能有效解決多個VLAN訪問控制問題。

總結(jié)

通過對防火墻內(nèi)VLAN設(shè)備和訪問規(guī)則的配置，實現(xiàn)了本單位專用服務(wù)功能要求，有效解決了跨多個VLAN訪問控制的問題。其他應(yīng)用規(guī)則的配置可依此類推，實現(xiàn)防火墻精準(zhǔn)控制功能的靈活運用。